Hati-hati memilih target dan bertujuan untuk mendapatkan hasil investasi yang lebih tinggi, bahkan jika Anda seorang penjahat cyber, adalah motif terbesar dari sebuah transaksi. Fenomena ini telah memulai tren baru yang disebut BEC atau Scam Bisnis Kompromi. Penipuan yang dilakukan dengan hati-hati ini melibatkan peretas menggunakan Teknik Sosial untuk memastikan CEO atau CFO perusahaan target. Para penjahat dunia maya kemudian akan mengirim email penipuan, yang dialamatkan dari pejabat manajemen senior tertentu itu, kepada karyawan yang bertanggung jawab atas keuangan. Ini akan meminta beberapa dari mereka untuk memulai transfer kawat.
Penipuan Kompromi Bisnis
Alih-alih menghabiskan banyak waktu yang sia-sia. Phishing atau mengirim spam ke akun perusahaan dan berakhir tanpa apa-apa, teknik ini tampaknya berfungsi dengan baik untuk komunitas hacker, karena bahkan perputaran kecil menghasilkan keuntungan besar. Serangan BEC yang berhasil adalah salah satu yang menghasilkan intrusi yang sukses ke dalam sistem bisnis korban, akses tidak terbatas ke kredensial karyawan, dan kerugian finansial yang besar bagi perusahaan.
Teknik melakukan Penipuan BEC
- Menggunakan nada menegakkan atau mendesak dalam email untuk mendorong pergantian karyawan yang lebih tinggi menyetujui pesanan tanpa penyelidikan. Misalnya, ‘Saya ingin Anda mentransfer jumlah ini ke klien secepatnya, yang mencakup perintah dan urgensi keuangan.
- Email Spoofing alamat email yang sebenarnya dengan menggunakan nama domain yang hampir mendekati real deal. Misalnya, menggunakan yah00 bukan yahoo cukup efektif ketika karyawan tidak terlalu ngotot memeriksa alamat pengirim.
- Teknik utama lain yang digunakan para penjahat cyber adalah jumlah yang diminta untuk transfer kawat. Jumlah yang diminta dalam email harus selaras dengan jumlah otoritas yang dimiliki penerima di perusahaan. Jumlah yang lebih tinggi diharapkan meningkatkan kecurigaan dan eskalasi masalah ini ke sel maya.
- Mengkompromikan email bisnis dan kemudian menyalahgunakan ID.
- Menggunakan tanda tangan khusus seperti ‘Dikirim dari iPad saya’ dan ‘Dikirim dari iPhone saya’ yang melengkapi fakta bahwa pengirim tidak memerlukan akses untuk melakukan transaksi.
Alasan mengapa BEC efektif
Bisnis Kompromi Penipuan dilakukan untuk menargetkan karyawan tingkat yang lebih rendah yang menyamar sebagai karyawan senior. Ini bermain pada rasa ' takut'Berasal dari subordinasi alami. Semakin rendah tingkat karyawan maka akan cenderung terus-menerus menyelesaikan, kebanyakan tanpa peduli pada detail yang rumit dengan risiko kehilangan waktu. Jadi, jika mereka bekerja di organisasi, itu mungkin bukan ide yang baik untuk menolak atau menunda perintah dari bos. Jika pesanan benar-benar berubah, situasinya akan merugikan bagi karyawan.
Alasan lain mengapa itu berhasil adalah unsur urgensi yang digunakan oleh peretas. Menambahkan garis waktu ke email akan mengalihkan karyawan untuk menyelesaikan tugas sebelum dia peduli untuk memeriksa detail seperti keaslian pengirim.
Statistik Penipuan Kompromi Bisnis
- Kasus BEC telah meningkat sejak ditemukan beberapa tahun yang lalu. Telah ditemukan bahwa semua negara bagian di AS dan lebih dari 79 negara di dunia telah memiliki perusahaan yang telah berhasil ditargetkan dengan Penipuan Kompromi Bisnis.
- Faktanya, dalam 4 tahun terakhir, lebih dari 17.500 korporasi, khususnya karyawan, telah menjadi sasaran target BEC dan telah berakhir menyebabkan kerugian signifikan bagi perusahaan. Kerugian total dari Oktober 2013 hingga Februari 2016 menambahkan hingga sekitar $ 2,3 miliar.
Pencegahan Penipuan Kompromi Bisnis
Meskipun tidak ada obat yang jelas untuk rekayasa sosial dan meretas sistem perusahaan dengan akses dari seorang karyawan, tentu ada beberapa cara untuk membuat para pekerja waspada. Semua karyawan harus dididik tentang serangan-serangan ini dan sifat umumnya mereka. Mereka harus disarankan untuk secara teratur menyaring setiap alamat email spoofing di kotak masuk mereka. Selain itu, semua perintah manajemen tingkat atas tersebut harus diverifikasi dengan otoritas melalui telepon atau kontak pribadi. Perusahaan harus mendorong verifikasi data ganda.
